Ответ стоит получить у самого Цб

Но поверять прийдёт ФСТЭК

А бить будет прокурор

Все банки кии

Странное утверждение. Это как сказать все Здравоохранение кии. Есть сеть медицинских центров на 10 000 врачей и амбулатория на 8 врачей. Сомневаюсь в Вашем утверждении.

Это несомненно, но не для каждого банка применим п. 10 показателей критериев значимости. А значит, что они смогут выкрутиться, если напишут, что данный данный показатель не применим, так как банк не является...тем, что в этом пункте написано.

Можете сомневаться, но все они - субъекты КИИ, если их деятельность хоть сколько-нибудь автоматизирована

Я думаю Алексей, лучше выразил мою мысль, я из-за бедности речи не совсем хорошо сформулировал мысль.

Этот действительно был устный комментарий ЦБ. Но дать подобное разъяснение ЦБ не может: не в компетенции ЦБ разъяснять постановления правительства, надзор за исполнением которых поручен ФСТЭК.

Буквально же формулмровка читается двояко, с точки зрения правил русского языка под нее подпадают все ьанки

Интересно глянуть статистику по банкам топ 10, кто из них признал себя кии

В том то и дело. Можно сделать трактовку п.10  в свою пользу, а потом пройдут  контролирующие органы, начнут трактовать в свою...

Нет

Доброго времени суток, коллеги!
Подскажите, пожалуйста, что первично, сведения, которые направляем во ФСТЭК вместе с актом категорирования, или модель угроз?

В сведениях по форме должны указать, в том числе, данные по нарушителям и актуальным угрозам.
При этом модель угроз на каждый ЗОКИИ разрабатывается на этапе построения (под)системы безопасности.
Тогда откуда взять перечень актуальных угроз на момент категорирования? Из экспертного мнения комиссии?

Открываем закон, находим в определении субъекта КИИ "...индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы..." и смело задумываемся над тем, какое максимальное количество работников разрешено держать индивидуальному предпринимателю

В законе говорится об ИС, АСУ, ИТС, которые работают в перечне сфер и принадлежат субъекту на законных основаниях. Есть районные больницы, работающие в РИС и ГИС, и своих систем у них нет.

У районных больниц и поликлиник есть МИС которые им переданы в пользовательском сегменте с атрибутами доступа... И вот тут большой вопрос они их или нет?

Это очень распространенная ошибка. Люди читают "ИС, АСУ и ГИС" и добавляют к ним от себя "используемые в критических процессах", которого нет в определении.

В каждой районной больнице есть, например, система ведения статистики. Это система, "функционируюшая в сфере здравоохранения". И 1С:Кадры - тоже ИС, "функционирующая в сфере здравоохранения".

ПП-127 разрешает субъектам их не категорировать, но на принадлежность организации к субъектам КИИ это не влияет никак

Не совсем понял в первой части слова "от себя". В законе говорится, что установлены 13 сфер (областей деятельности), которые подпадают в область действия. При этом, по определению, к субъектам КИИ относятся те организации, которые владеют объектами, функционирующими в указанных сферах, а не организации, работающие в данных областях.
По второй и третей части, возможно вы правы, не рассматривал их с этой стороны.

По первой части - часто утверждают, что если при определении перечня объектов КИИ не выявлены ИС, используемые в критических процессах, то организация - не субъект КИИ. Пару раз такое даже парни из ТУ ФСТЭК говорили на региональных конференциях :)

Это некорректно с точки зрения закона: организация сперва решает, субъект она или нет, и только потом, если субъект, начинает исполнять ПП-127. С точки зрения категорирования никакой разницы (в обоих случаях не будет объектов, о которых нудно сообщать), но это принципиально с точки зрения ответственности за последствия ошибок.

Полистал свои конспекты и нашел, что нельзя рассматривать только те процессы, которые связаны с видами деятельности из определения субъекта КИИ в 187-ФЗ (медицина, наука и т.д.). Нужно рассматривать все. Надо по разбираться, я уже запутался.